Drei Jahre und eine Pandemie später ist Datenschutz wichtiger denn je

Beitrag als PDF (Download)

Ende Mai 2018 wurde die Datenschutz-Grundverordnung (DSGVO) anwendbar und mit ihr ein Rahmen für empfindlich hohe Bußgelder: Unternehmen sehen sich seither bei Datenschutzverstößen mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes konfrontiert. Wenig überraschend löste die DSGVO daher 2018 nicht nur rege Complianceaktivitäten aus, sondern auch eine gewisse Verunsicherung bei Unternehmen und die Angst vor massiven Bußgeldern. Eine vertiefte Analyse der Behördenpraxis in ganz Europa zeigt nun, dass das Bild jenseits der Schlagzeilen zu Rekordbußgeldern durchaus differenzierter ausfällt.

Fakten, Fakten, Fakten
Eines gleich vorweg: Verstöße gegen Datenschutzvorgaben können für Unternehmen tatsächlich sehr teuer werden. Ein Blick in die Statistik beziehungsweise in den GDPR Enforcement Tracker (siehe hier), eine frei zugängliche Datenbank der öffentlich bekannten DSGVO-Bußgelder der Wirtschaftskanzlei CMS, zeigt, dass bis Mitte Juni 2021 europaweit bereits 677 Bußgelder verhängt wurden, die sich in Summe auf den stattlichen Betrag von über 285 Millionen Euro belaufen. Die Top 3 auf der Bußgeldskala sind ein Bußgeld der französischen Datenschutzaufsichtsbehörde gegen Google in Höhe von 50 Millionen Euro, ein in Deutschland gegen H&M verhängtes Bußgeld von 35 Millionen Euro und schließlich ein Bußgeld von 27,8 Millionen Euro, das den italienischen Telekommunikationsanbieter TIM traf. Alle drei Sanktionen lösten in der Presse viel Wirbel aus. Ob damit für die Unternehmen auch nachhaltige Reputationsschäden verbunden sind, ist unklar.
Die Bußgelder unterscheiden sich je nach Branche
erheblich, wie die soeben erschienene zweite Auflage des jährlichen GDPR Enforcement Tracker Reports
(siehe hier) zeigt. Nur wenige und im Durchschnitt niedrige Bußgelder entfielen auf die Immobilienbranche sowie Privatpersonen und private Vereinigungen. Am oberen Ende des Spektrums stehen Medien- und Telekommunikationsunternehmen mit knapp 100 Bußgeldern in einer Durchschnittshöhe von 1,2 Millionen Euro und die Bereiche Transport und Energie sowie Hotellerie und Gastronomie mit durchschnittlichen Bußgeldern von jeweils über 1,3 Millionen Euro. Mögliche Erklärungen für die besondere Betroffenheit dieser Branchen sind die vielfach hohen Zahlen von Betroffenen (zum Beispiel bei Fluggesellschaften, Telekommunikationsanbietern oder Internetplattformen) sowie das datenbasierte Geschäftsmodell vieler Medien- und Internetunternehmen. Hier scheinen die Aufsichtsbehörden besonders genau hinzusehen und auch vor sehr hohen Sanktionen nicht zurückzuschrecken.
Selbst Kleinstunternehmen oder Privatpersonen sollten sich aber keinesfalls darauf verlassen, unter dem Radar der Aufsichtsbehörden zu fliegen. So nahmen die Aufsichtsbehörden etwa einzelne Restaurants und sogar den Betreiber eines Kebab-Stands sowie verschiedene Privatpersonen in die Pflicht, namentlich wegen unerlaubter Videoaufnahmen. Die Bußgelder für Privatpersonen fallen im Vergleich moderater aus – wenn auch immer noch deutlich spürbar – und liegen in der Regel im dreistelligen oder niedrigen vierstelligen Bereich.

Flickenteppich bei der Durchsetzung: große Unterschiede in der Behördenpraxis
Der Vergleich der Praxis der Datenschutzaufsichtsbehörden verschiedener Staaten präsentiert eine äußerst heterogene Durchsetzung der DSGVO. Während die DSGVO eigentlich auf eine vollständige Harmonisierung des Datenschutzrechts in Europa abzielte (und dies in materiellrechtlicher Hinsicht zumindest in Teilen gelang), wird die Behördenpraxis durch nationales Verwaltungs- und Sanktionsrecht geprägt. Dieses ist, je nach Land, sehr unterschiedlich ausgestaltet. Hinzu kommen Unterschiede im Hinblick auf die Stellung der Aufsichtsbehörden sowie hinsichtlich ihrer Etats und der personellen Aufstellung. Aber auch das materielle Recht wird von den Behörden in Europa keineswegs einheitlich ausgelegt.
Bei einem Ländervergleich springt sofort ins Auge, dass Spanien mit großem Abstand die meisten (öffentlich bekannten) Bußgelder verhängt. Dahinter folgen Italien und Rumänien, die jeweils jedoch zahlenmäßig nicht einmal auf ein Drittel der in Spanien ausgesprochenen Sanktionen kommen. Slowenien fällt hingegen auf, weil es bisher als einziges Land unter der DSGVO kein einziges Bußgeld verhängt hat.
Die Höhe der Bußgelder schwankt ebenfalls stark von Land zu Land. Angeführt vom Vereinigten Königreich mit Bußgeldern von durchschnittlich 11 Millionen Euro, bitten auch Frankreich, Deutschland und Italien gegen Datenschutz verstoßende Unternehmen im Schnitt mit Millionenbeträgen zur Kasse. So kommen in diesen vier Ländern bemerkenswert hohe Gesamtsummen sämtlicher Bußgelder zusammen, angefangen mit 44 Millionen Euro in Großbritannien bis hin zu 70 Millionen Euro in Italien. Ganz anders ist die Lage etwa in Österreich, wo die sanktionierten Unternehmen durchschnittlich mit gerade einmal 7.683 Euro davonkommen.

Hauptauslöser für Bußgelder
Um sich bestmöglich gegen Sanktionen für Datenschutzverstöße zu wappnen, lohnt sich eine Analyse der Gründe, aufgrund derer die jeweiligen Bußgelder verhängt wurden. Der erste Hauptauslöser, der sowohl die meisten als auch die durchschnittlich höchsten Bußgelder nach sich zog, war das Fehlen einer ausreichenden rechtlichen Grundlage für die Verarbeitung von Daten. Für eine rechtssichere Gestaltung der Datenverarbeitung müssen Unternehmen durch eine sorgfältige datenschutzrechtliche Prüfung sicherstellen, dass sie ihre Verarbeitungsaktivitäten entweder auf eine Einwilligung der betroffenen Person oder auf einen gesetzlichen Erlaubnistatbestand stützen können.
Der zweite Hauptgrund für die Verhängung von Bußgeldern liegt in unzureichenden technischen und organisatorischen Maßnahmen für die Datensicherheit. Zum einen sind Unternehmen verpflichtet, personenbezogene Daten durch technische Maßnahmen, wie Maßnahmen im Bereich IT-Sicherheit, zu schützen, etwa vor dem Zugriff von Hackern und anderen unbefugten Personen. Zum anderen müssen Unternehmen durch geeignete organisatorische Mittel, etwa regelmäßige Schulungen und Sensibilisierung des Personals, sicherstellen, dass nicht der „Faktor Mensch“ zu einer unerlaubten Offenlegung von Daten führt.
Die Bedeutung dieser beiden Hauptgründe wird noch dadurch unterstrichen, dass sie jeweils nicht nur zu den meisten, sondern auch zu den durchschnittlich höchsten Bußgeldern geführt haben. Im Hinblick auf DSGVO-Compliance sollte ihnen daher eine entsprechend hohe Priorität eingeräumt werden.

Hoffnungsschimmer am Horizont:
Nicht alle Bußgelder halten vor Gericht stand
Wer aufgrund der Covid-19-Pandemie auf Nachsicht der Aufsichtsbehörden gehofft hat, wird enttäuscht. Nach einer kurzen Phase während des ersten Lockdowns im Frühjahr 2020, in der es europaweit kaum Bußgelder gab, nahmen die Behördenaktivitäten besonders im Herbst 2020 deutlich zu und sind seither ungebrochen.
Doch es gibt aus Unternehmenssicht Hoffnung: Zur mittlerweile umfangreichen Praxis der Aufsichtsbehörden kommt mehr und mehr Rechtsprechung von Gerichten zu den verhängten Bußgeldern hinzu. Erste Fälle auch in Deutschland, wie etwa die Bußgelder gegen die Deutsche Wohnen sowie 1&1, zeigen, dass Millionenbußgelder nicht zwingend in Stein gemeißelt sind, sondern durch Gerichte deutlich reduziert oder gar aufgehoben werden können. Für Unternehmen kann sich daher durchaus die Abwägung lohnen, einen Bußgeldbescheid gegebenenfalls anzufechten.

fiona.savary@cms-hs.com

Aktuelle Beiträge